Apple quer padronizar código de autenticação via SMS contra golpes

1 min de leitura
Imagem de: Apple quer padronizar código de autenticação via SMS contra golpes
Essa não é uma matéria patrocinada. Contudo, o TecMundo pode receber uma comissão das lojas, caso você faça uma compra.
Avatar do autor

Engenheiros da Apple que trabalham no WebKit, o motor do navegador Safari, propuseram um novo padrão para mensagens SMS que contêm códigos de acesso único (OTP, na sigla em inglês), que são aqueles enviados aos usuários para realizar login em um site no navegador ou em um app, e só servem para ser usados uma única vez. Essas mensagens SMS são usadas em autenticações em dois fatores (2FA, na sigla em inglês).

Fonte: Pixabay/Reprodução

A padronização servirá para melhorar a segurança nesses tipos de operações, reduzindo as chances de usuários se tornarem vítimas de golpes de phishing, por meio de duas alterações no formato das mensagens:

  1. A adição e associação de uma URL de login legítima do site à própria mensagem SMS;
  2. Padronizar o formato das mensagens SMS 2FA/OTP, para que os navegadores e aplicativos possam detectar o SMS recebido, reconhecer o domínio da web na mensagem, extrair o código de acesso único e concluir a autenticação no serviço desejado, sem a necessidade de intervenção do usuário.

De acordo com a proposta da Apple, uma mensagem SMS desse tipo seguiria o exemplo abaixo:

747723 é o seu código de autenticação do sitetal.com

@ sitetal.com # 747723

Nesse formato, a primeira linha é destinada à leitura humana, o que lhes permite ver o site no qual o código de acesso único será utilizado. A segunda linha é destinada à leitura por parte dos navegadores e aplicativos.

Nessa nova modalidade de autenticação, caso haja uma falha no momento do login, os usuários estarão aptos a comparar a URL real do site com a URL que foi aberta no navegador. Se houver uma discrepância nessas informações, os usuários serão alertados a fim de abandonar a operação, evitando a concretização de um golpe.

A primeira empresa a demonstrar interesse no novo padrão foi a Twilio, mas ainda é preciso aguardar os navegadores enviarem os componentes para a leitura de códigos OTP de SMS nesse novo formato. Além da Apple, a Google também está de acordo com o novo padrão. A Mozilla ainda não se manifestou.

Apple quer padronizar código de autenticação via SMS contra golpes